Conficker.e đã lợi dụng lỗi phần mềm của Microsoft để lây nhiễm vào ít nhất từ 3 triệu đến 12 triệu máy tính. Nó cũng đã cố gắng truy cập tới các trang web như MySpace, MSN, eBay, CNN và AOL nhằm kiểm tra xem máy tính đó có kết nối Internet hay không, và được lập trình kết thúc vào 3-5.

Ivan Macalintal, một nhà nghiên cứu của Trend Micro, cho biết biến thể mới này được bổ sung thêm khả năng kết nối với các PC bị lây nhiễm khác thông qua kết nối chia sẻ ngang hàng P2P nhằm giúp chúng có thể thuận tiện cập nhật phiên bản mới và mã lệnh tấn công lên mọi PC bị lây nhiễm ngay cả trong trường hợp máy chủ bị tiêu diệt đồng thời đẩy nhanh tốc độ phát tán biến thể mới.

Các nhà nghiên cứu vẫn đang phân tích mã phần mềm được cài trong máy tính bị nhiễm và nghi rằng nó là một phần mềm ghi lại ký tự nhập từ bàn phím hoặc một chương trình được thiết kế để ăn cắp thông tin nhạy cảm trong máy.

Theo ông Kevin Hogan, Giám đốc nhóm phản ứng với các tình trạng bảo mật của Symantec, trong “hội đồng” tấn công lần này có mặt Waledac. Đây là một dạng mã độc BOT chuyên “bắt cóc” và biến PC người dùng trở thành công cụ phát tán thư rác nổi tiếng trong vài tháng trở lại đây.

Một trong những nguyên nhân khiến Waledac nổi tiếng bởi nó được xem là phiên bản nâng cấp của con sâu máy tính khét tiếng về khả năng phát tán thư rác Storm. Cộng đồng bảo mật tin rằng những kẻ phát triển Waledac cũng nằm trong nhóm những đối tượng đã lập trình và điều khiển Storm.

Tương tự như Storm, một khi đột nhập thành công, Waledac cũng sẽ cài thêm một mã độc Trojan nhằm giúp tin tặc từ xa chiếm được quyền điều khiển và biến PC của người dùng trở thành một thành viên trong mạng BOTNET chuyên dụng phát tán thư rác.

Kiếm tiền bất hợp pháp

Lần này, hãng bảo mật Kaspersky Lab còn phát hiện Conficker.e còn kéo theo một phần mềm bảo mật giả mạo. Đây là loại phần mềm thường lừa người dùng bằng những cảnh báo bảo mật hay lây nhiễm mã độc giả mạo. Chúng sẽ liên tục bung ra những cửa sổ pop-up cảnh báo chừng nào người dùng chấp nhận trả tiền cho chúng.

Cụ thể - chuyên gia nghiên cứu Alex Gostev của Kaspersky, cho biết Conficker.e tải về và cài đặt phần mềm bảo mật giả mạo có tên SpywareProtect2009. Để loại bỏ được phần mềm phiền toái này người dùng phải chấp nhận trả cho tin tặc 50 USD.

Không giống như biến thể Conficker.c, biến thể Conficker.e đã được khôi phục lại khả năng khai thác lỗi bảo mật nguy hiểm trong Windows như đã có trong biến thể đầu tiên. Thực tế Conficker.c chỉ là phiên bản nâng cấp trực tiếp lên các PC bị lây nhiễm chứ không chủ động lây nhiễm như biến thể Conficker.b.

“Nếu tin tặc muốn tiếp tục phát tán Conficker để kiếm lợi thì tất yếu chúng lại phải phát tán và lây nhiễm con sâu máy tính này mạnh mẽ hơn lên nhiều PC hơn,” ông Kevin Hogan - Giám đốc nhóm phản ứng với các tình trạng bảo mật của Symantec - nhận định. “Tôi có thể khẳng định tới đây Conficker sẽ nguy hiểm hơn thời gian qua rất nhiều”.

Các chuyên gia cho rằng những kẻ đứng đằng sau giật dây điều khiển Conficker sau một thời gian đã bắt đầu thể hiện rõ động cơ phát triển nên con sâu máy tính nguy hiểm này. Đó chính là mục tiêu kiếm tiền từ các hoạt động bất hợp pháp. Đây mới là mục tiêu cuối cùng và quan trọng nhất của Conficker.